Nếu bạn muốn làm cho bảo mật website của mình trở nên mạnh mẽ và chắc chắn hơn thì bạn cần cân nhắc về Hardening. Hardening website có nghĩa là thêm các lớp bảo vệ khác nhau để làm giảm bề mặt tấn công tiềm năng. Hardening thường liên quan đến các biện pháp thủ công của việc thêm code hoặc thay đổi cấu hình. Virtual Hardening website liên quan đến việc cho phép một Web Application Firewall (WAF) hoặc plugin bảo mật tự động Hardening website của bạn.

Hardening là một phần của chiến lược phòng thủ sâu nhằm bảo vệ máy chủ web và cơ sở dữ liệu khỏi sự khai thác lỗ hổng. Tương tự với các lĩnh vực An ninh Thông tin khác, đó là cần thiết để hiểu về an ninh trang web một cách toàn diện.

Khi bạn thêm các lớp bảo vệ vào website của mình, bạn sẽ thực hiện các kiểm soát có liên quan đến:

  • Độ sâu phòng vệ: thêm nhiều điều khiển để bảo vệ trang web của bạn.
  • Bề rộng của bề mặt tấn công: bao gồm tất cả các vectơ tấn công tiềm ẩn và các lĩnh vực an ninh.

Thêm Virtual Hardening vào một website có nghĩa là bảo vệ nó trên nhiều tầng, như là:

  • Ứng dụng
  • Hệ điều hành
  • Máy chủ web
  • Cơ sở dữ liệu

Website CMS

Điều quan trọng cần lưu ý khi hardening đó là mỗi môi trường nền tảng là khác nhau. Ví dụ như nếu website của bạn đang sử dụng nền tảng WordPress, chúng tôi có thể cung cấp cho bạn một số mẹo để Hardening nó, chẳng hạn như:

  • Hạn chế quyền truy cập wp-admin chỉ cho những địa chỉ IP nhất định trong danh sách trắng (whitelist).
  • Vô hiệu hoá thực hiện PHP bên trong thư mục tải lên
  • Tắt thực thi PHP trực tiếp bên trong toàn bộ thư mục wp-content bất cứ khi nào có thể

Tuy nhiên, không phải tất cả các chủ của WordPress website đều có thể áp dụng những lời khuyên này vì nhiều lý do, chẳng hạn như, không thể có một danh sách trắng (whitelist) các IP vì địa chỉ IP của bạn đang hoạt động…. Nhưng điều đó không có nghĩa là bạn không thể sử dụng các phương pháp khác.

Hardening WordPress website
Hardening WordPress website

Ví dụ như trong bảng điều khiển tường lửa, bạn có thể thêm một lớp bảo vệ bổ sung bằng cách bổ sung một phương pháp xác thực theo sự lựa chọn của bạn.

Máy chủ Web

Như chúng tôi đã đề cập, Virtual Hardening vượt xa môi trường nền tảng vào máy chủ web của bạn, bao gồm:

  • Windows IIS
  • Apache
  • NGINX
  • js
  • Lighttpd

Thêm lớp bảo vệ an ninh vào máy chủ của bạn có thể rất khó khăn. Bạn sẽ cần phải biết máy chủ nào đang chạy và để nghiên cứu các đề xuất Hardening máy chủ. Ngoài ra còn có một số môi trường kết hợp với các yếu tố khác nhau mà bạn có thể cần phải được nhận thức.

Một số ví dụ về Hardening

Nếu bạn đang tự hỏi bạn có thể làm gì để Hardening website của mình, thì dưới đây là một số mẹo:

  1. Giữ CMS và các phần cập nhật mở rộng của bạn.
  2. Luôn cài đặt các bản vá lỗi bảo mật cho CMS và phần mở rộng của bạn.
  3. Theo dõi website của bạn và hoạt động đăng nhập của nó.
  4. Cài đặt một tường lửa trên thiết bị bạn sử dụng để truy cập website của bạn.
  5. Có mật khẩu dài, duy nhất và phức tạp.
  6. Xóa các plugin và tiện ích không cần thiết khỏi website của bạn.
  7. Sử dụng 2FA bất cứ khi nào có thể.
  8. Cài đặt Website Application Firewall.

Hardening website có thể rất khó

Một vấn đề lớn với hardening là không phải tất cả mọi người đều đủ kỹ thuật để theo dõi hoặc hiểu hướng dẫn mà quá trình này đòi hỏi.

Một trong những thách thức là theo kịp với những lỗ hổng mới nhất. Thách thức khác là nhạy cảm về mặt thời gian.

Làm cho Virtual Hardening trở nên dễ dàng hơn

Bạn nên tìm hiểu và cài đặt Website Application Firewall vì nó có thể mặc định hardening cho website của bạn. Một khi bạn kích hoạt tường lửa, bạn sẽ không cần phải lo lắng nhiều về việc duy trì các plugin bảo mật và cấu hình. Nó sẽ giúp bạn tiết kiệm thời gian, tiền bạc và yên tâm tập trung vào công việc kinh doanh trên website.